Ein Erfahrungsbericht aus Sicht Sales von Philipp Hauenstein

Oneconsult berät rund um das Thema Cybersicherheit. In den letzten Monaten kamen immer wieder Fragen in Meetings und Telefongesprächen auf, die sich um die Konsequenzen der Datenschutzgrundverordnung drehen (DSGVO, englisch: General Data Protection Regulation, GDPR), die am 25. Mai 2018 in Kraft tritt. Ist dies ein Bericht wie viele andere, die sich mit Angstmacherei beschäftigen? Nein. Wenn Sie hier weiterlesen, geht es einfach nur darum, die Fragen unserer Gesprächspartner anonymisiert aufzulisten und Antworten darzulegen, die das Oneconsult-Team im Moment dazu geben kann (Stand März 2018).

Gilt das GDPR für unser Unternehmen? Wir haben keine Niederlassung in der EU und verkaufen unsere Waren/Dienstleistungen nur in der Schweiz.

Das GDPR unterliegt dem Marktorientierungsprinzip. Das heisst, wenn der Markt der Waren oder Dienstleistungen nicht in der EU liegt, gilt das Schweizer Datenschutzgesetz (DSG).

Was kommt denn da so gesamthaft auf uns zu mit dem GDPR, grob gesprochen?

Wenn Schweizer Unternehmen eine Niederlassung in der EU haben oder Waren/Dienstleistungen in der EU anbieten (auch über eine Webseite, die z. B. Preise in Euro anzeigt), so kommt die DSGVO zur Anwendung. Da die Sanktionen bei Verletzung der DSGVO neu sehr hoch sind (bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes), lohnt es sich, darauf vorbereitet zu sein. Da neu das Prinzip der Rechenschaftspflicht gilt, müssen Organisationen die Einhaltung der DSGVO selbst belegen. Insbesondere muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt, eine Risikoanalyse durchgeführt und entsprechende Massnahmen müssen ausgearbeitet und implementiert werden, um die Betroffenenrechte zu wahren. Der Datenschutz muss bei der technischen Umsetzung eingeplant («Privacy by Design») und entsprechende Voreinstellungen getroffen werden («Privacy by Default»). Weitere Themen sind u.a. die Pflicht, sogenannte «Data Breaches» unverzüglich oder möglichst innerhalb von 72 Stunden zu melden, Datenschutz-Policies und die Schulung von Mitarbeitenden.

Wann benötigen wir einen Datenschutzbeauftragten?

In der Schweiz gibt es momentan keine Pflicht, einen Datenschutzveranwortlichen zu benennen. Mit der DSGVO gibt es neu eine europaweite Verpflichtung einen Datenschutzbeauftragten zu benennen, wenn die Kerntätigkeit des Unternehmens in einer umfangreichen, regelmässigen und systematischen Überwachung von betroffenen Personen besteht (z. B. Detektivbüro) oder bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten (z. B. Spital).

Was bedeutet denn das GDPR nun für Unternehmen in der Schweiz ganz konkret?

Die Gesetze, welche sich an das GDPR anlehnen sollen, sind in der Schweiz noch nicht verabschiedet. Von Parlamentsseite wurde zuletzt am 12. Januar 2018 mitgeteilt, dass die Staatspolitische Kommission (SPK) die Revision in Etappen angehen möchte. Zuerst sollen die notwendigen Anpassungen an das europäische Recht vorgenommen werden. Die Totalrevision des Datenschutzgesetzes folgt in einer zweiten Etappe. Kurzum, hier ist Abwarten angesagt.

Wir haben Patienten und Mitarbeiter aus der EU bei uns. Zu was sind wir diesen gegenüber verpflichtet gemäss DSGVO?

Die DSGVO kommt hier innerhalb des Schweizer Marktes nicht zur Anwendung (siehe Marktorientierungsprinzip). Allerdings schon, wenn die Daten innerhalb der EU bearbeitet werden (z. B. durch einen EU-Dienstleistungsanbieter).

Die personenbezogenen Daten (z. B. HR- oder Kundendaten) werden bei uns von verschiedenen Systemen genutzt und es gibt viele Schnittstellen.
Das Management fragt nach, ob wir ein nach DSGVO angemessenes Schutzniveau für diese Daten haben bzw. was kann ich von einem Security Consulting zum jetzigen Zeitpunkt erwarten?

Durch eine technische IT-Sicherheitsüberprüfung bzw. einen Penetration Test Ihrer Systeme können Sie durch Oneconsult produkte- und herstellerneutral herausfinden lassen, ob Verwundbarkeiten vorhanden sind, die ein Datenleck (Data Breach) ermöglichen könnten. Ist es z. B. möglich, unbefugt Zugriff auf Daten zu erhalten oder sich selbst höhere Rechte zu geben (Privilege Escalation) oder kann Malware eingeschleust werden, die es erlaubt, Daten zu entwenden. Wenn die Spezialisten von Oneconsult Sicherheitslücken in Kundensystemen oder -applikationen detektieren, erhalten die Kunden zu der Auflistung gleichzeitig auch eine priorisierte Massnahmenempfehlung. Dieser Mehrwert erlaubt den kundenseitigen System-Administratoren und Entwicklern effizient die gefundenen Schwachstellen auszumerzen.

Der Verfasser hofft, Ihnen mit diesen Fragen und Antworten zumindest ein paar Schritte aufgezeigt zu haben in der individuellen Behandlung der Fragestellungen rund um die bevorstehende Rechtsumsetzung.

Über den Autor

Philipp Hauenstein beschäftigte sich während seines Studiums der Politikwissenschaften an der Universität Zürich und der Militärakademie an der ETH Zürich (2003-2009) u.a. mit Themen rund um die Militär- und Sicherheitspolitik im Informationszeitalter. Sein besonderes Interesse galt dabei dem Potential von Angriffen aus dem Cyberraum. Parallel entwickelte Philipp Hauenstein ein grosses technisches Faible für die Absicherung von Kommunikationskanälen aufgrund seiner ehrenamtlichen Tätigkeiten für die Sicherheits-Community im deutschsprachigen Raum. Nach seiner Beschäftigung als Sales Representative für den Vertrieb sicherer VOIP-Lösungen und einem Exkurs als Fachreferent für Kommunikationssicherheit arbeitete er bis Ende 2013 für einen grossen Telekommunikationsanbieter, wo er für den Verkauf umfassender Kommunikationslösungen zuständig war. Seit Januar 2014 arbeitet Philipp Hauenstein bei Oneconsult primär als Security Sales Executive. Er ist zertifizierter ISO 27001 Provisional Auditor und zertifizierter OSSTMM Professional Security Expert (OPSE).